网络主机和交换机端口位置的有效定位方法

《快速查找交换机端口》2007-7月A  刊登与《网管员世界》杂志 ISSN 1671-2919 维普咨询VIP收录

 

前段时间发生了这样一件事，早上来还没进屋 , 就听到办公室电话铃响个不停，都是用户投诉上不了网的故障电话。我马上 Ping 了网关路由器地址，发觉 Ping 包延时很大，还是通时断。这时候立即明白网络带宽拥塞。由于没有 LAN 网流量监测工具，无法知道在网上的流量类别和数据来源，只好在路由器 10M 的 LAN 口作流量分析，这需要通过设置交换机镜像口。我发现有 N 个不知名的 IP 源地址，从相同一个 MAC 向外发包。初步估计是这台机器中了病毒。 我们单位网络中有上千台主机，都是网络管理员为入网用户分配和提供的 IP 地址但是，一旦中客户机中 病毒，发包堵塞网络 的情况发生的时候造成网络拥塞。很不好排查 . 通常情况下一些网络管理员通过 sniffer 软件可以检测到是哪个 IP 发的包，但是对于大型网络有几十台交换机就无法短时间确定故障机器插到那个交换机上。如果能找到就登陆到交换机上把那个端口关闭（ shutdown ）与网络隔离后在处理。从而保证其他正常的机器不受影响。下面我我们单位的实际网络为例，为大家介绍一种手工查找 IP 地址对应交换机端口的方法。

由于我们单位网络设备统一是cisco， CISCO  设备定期发送更新来使自身知道它的邻居， 我就利用 CDP （Cisco Discovery Protocol）协议特性，获得相邻运行CDP协议的交换机信息，下面我们看看具体操作。

网络拓扑结构示意图

具体操作如下：

首先我telnet到核心交换机上ping一下被盗的IP如(10.32.2.18)

BJ-SW-419-1-4#ping 10.32.2.18

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.32.2.18, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms

你看通了，表示盗用者正在使用机器。接着我们看看他机器网卡的MAC地址是多少。

BJ-SW-419-1-4#show arp | in 10.32.2.18

Internet  10.32.2.18              3   000d.5621.afd6  ARPA   Vlan20

因为我们单位的是多层交换的网络 ， 下一步我们要知道他的机器是接到那个交换机器上的。

BJ-SW-419-1-4#show mac-address-table dynamic address 000d.5621.afd6

Unicast Entries

 vlan   mac address     type        protocols               port

-------+---------------+--------+---------------------+--------------------

  20    000d.5621.afd6   dynamic ip,ipx                 GigabitEthernet3/2

 

哦，是通过千兆的口连的。我们看看邻居（就是核心交换机器的下级交换机）

BJ-SW-419-1-4#sh cdp neighbors

Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge

                  S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone

Device ID        Local Intrfce     Holdtme    Capability  Platform  Port ID

BJ-SW-419-2-3    Gig 3/4            152          S I      WS-C3550-4Gig 0/2

BJ-SW-419-1-3    Gig 3/3            168          S I      WS-C3550-4Gig 0/2

BJ-SW-440-1-4    Gig 3/1            173          S I      WS-C3550-4Gig 0/2

BJ-SW-440-2-4    Gig 3/2            143          S I      WS-C3550-2Gig 0/2

cec-2-4          Gig 3/6            177          S I      WS-C3550-4Gig 0/1

cec-2-3          Gig 3/5            175          S I      WS-C3550-4Gig 0/2

 

找到了他在 BJ-SW-440-2-4    Gig 3/2            143          S I      WS-C3550-2Gig 0/2  上

好，下面我们直接telnet到 BJ-SW-440-2-4这台交换机，输入MAC查找。

BJ-SW-440-2-4#show mac-address-table dynamic address 000d.5621.afd6

          Mac Address Table

-------------------------------------------

 

Vlan    Mac Address       Type        Ports

----    -----------       --------    -----

  20    000d.5621.afd6    DYNAMIC     Fa0/23

Total Mac Addresses for this criterion: 1

结论：

出来了，他的机器接在了BJ-SW-440-2-4交换机的23端口，然后  根据综合布线时候的跳线表就可以直接找到盗用地址的人了。 通过以上方法，网管员找到了一条连到中毒机器，通过对应表我们知道用户属于哪个部门，接下来就是是进行杀毒处理了。

 

 

配线架端口	500-1	500-2	500-3	500-4	500-5
脚换机端口	1	2	3	4	5

此表为我们单位部分对应表

对大家的建议，我们在做网络管理时手里一定要有一份 IP 地址和硬件地址的严格对应表，不短完善网络管理功能 , 故障检测手段，提高网络故障的清查能力。

 本文转自 李晨光 51CTO博客，原文链接： http://blog.51cto.com/chenguang/69857 ，如需转载请自行联系原作者